Re: Шо там у *****ов?
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Russian GRU Conducting Global Brute Force
Campaign to Compromise Enterprise and Cloud Environments
Since at least mid-2019 through early 2021, Russian General Staff Main Intelligence
Directorate (GRU) 85th Main Special Service Center (GTsSS), military unit 26165, used
a Kubernetes® cluster to conduct widespread, distributed, and anonymized brute force
access attempts against hundreds of government and private sector targets worldwide.
GTsSS malicious cyber activity has previously been attributed by the private sector
using the names Fancy Bear, APT28, Strontium, and a variety of other identifiers. The
85th GTsSS directed a significant amount of this activity at organizations using Microsoft
Office 365® cloud services; however, they also targeted other service providers and onpremises email servers using a variety of different protocols. These efforts are almost
certainly still ongoing.
This brute force capability allows the 85th GTsSS actors to access protected data,
including email, and identify valid account credentials. Those credentials may then be
used for a variety of purposes, including initial access, persistence, privilege escalation,
and defense evasion. The actors have used identified account credentials in conjunction
with exploiting publicly known vulnerabilities, such as exploiting Microsoft Exchange
servers using CVE 2020-0688 and CVE 2020-17144, for remote code execution and
further access to target networks. After gaining remote access, many well-known
tactics, techniques, and procedures (TTPs) are combined to move laterally, evade
defenses, and collect additional information within target networks.
По крайней мере с середины 2019 до начала 2021 года Главное управление разведки Генерального штаба России
Управление (ГРУ) 85-й Главный центр специальной службы (ГЦСС), в / ч 26165, б / у
кластер Kubernetes® для проведения широко распространенных, распределенных и анонимных брутфорс
попыток доступа к сотням государственных и частных объектов по всему миру.
Вредоносная киберактивность ГЦСС ранее приписывалась частному сектору
используя имена Fancy Bear, APT28, Strontium и множество других идентификаторов. В
85-я ГЦСС направила значительную часть этой деятельности на организации, использующие Microsoft.
Облачные сервисы Office 365®; однако они также были нацелены на других поставщиков услуг и локальные почтовые серверы, использующие множество различных протоколов. Эти усилия все еще продолжаются.
Эта возможность грубой силы позволяет участникам 85-й ГЦСС получить доступ к защищенным данным,
включая электронную почту, и подтвержденным действительным учетным данным. Затем эти учетные данные могут быть
использованы для различных целей, включая начальный доступ, постоянный доступ, повышение привилегий,
и уклонение от защиты. Актеры использовали идентифицированные учетные данные вместе
с использованием общеизвестных уязвимостей, таких как использование Microsoft Exchange
серверы, использующие CVE 2020-0688 и CVE 2020-17144, для удаленного выполнения кода и
дальнейший доступ к целевым сетям. После получения удаленного доступа многие известные
тактики, приемы и процедуры (ТТП) объединены, чтобы двигаться в сторону, уклоняться от
защиты и собирать дополнительную информацию в целевых сетях.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Посольство РФ призвало США отказаться от голословных обвинений в кибератаках
02.07.2021
Посольство РФ в США категорически отвергает причастность российских госструктур к атакам "на правительственные и частные объекты в США и за их пределами". Так дипломаты отреагировали на совместный доклад американских и британских спецслужб о хакерских атаках.
Ихтамести опять прикидываются ихтамнетами.
